Compte tenu de leur caractère sensible, les données personnelles de santé donnent lieu à un ensemble de règles particulières. Il s'agit de présenter la notion, ainsi que le régime juridique du traitement des données personnelles de santé au regard de la législation sur les données à caractère personnel. 

Pour ce qui concerne la mise à disposition, ainsi que la réutilisation des données de santé personnelles ou non personnelles à des fins de recherche, voir Données de santé.

Les données personnelles de santé comprennent celles relatives à la santé physique ou mentale d’une personne physique, dès lors qu’elles révèlent des informations sur l’état de santé de cette personne. – Article 4, 15° du Règlement général sur la protection des données

Le RGPD définit les contours de la notion. Ainsi, les données personnelles concernant la santé comprennent l’ensemble des données se rapportant à l’état de santé passé, présent ou futur, d’une personne.

Le droit européen adopte une conception large des données de santé. Ces données ne doivent pas nécessairement concerner une maladie pour être qualifiées comme telles. Elles peuvent être issues de dispositifs médicaux (y compris d’objets connectés) ou de tests diagnostiques et ne sont pas forcément collectées par un professionnel de santé.

La Commission nationale de l’information et des libertés (CNIL) identifie trois catégories de données personnelles concernant la santé : 

• les données de santé par nature : celles qui sont intrinsèquement liées à l’état de santé d’une personne, telles que antécédents familiaux, maladies, prestations de soins réalisés, résultats d’examens, traitements ou encore le handicap.
• les données de santé issues de croisement avec d’autres données : elles permettent d’inférer des informations sur l’état de santé ou le risque sanitaire d’un individu. Par exemple, le croisement d’une mesure de poids avec le nombre de pas ou l’apport calorique, ou encore l’analyse conjointe de la tension artérielle et de l’intensité de l’effort fourni.
• les données qui deviennent des données de santé en raison de leur destination : certaines informations acquièrent le statut de données de santé en fonction de l’usage qui en est fait à des fins médicales. C’est leur traitement dans un contexte médical qui leur confère cette qualification. La finalité du traitement des données personnelles est donc un critère déterminant.

– CNIL, Qu’est-ce qu’une donnée de santé ?, 8 janvier 2018

• les données de bien-être qui ne sont pas traitées à des fins médicales : une distinction doit être faite entre les données de santé et les données de bien-être. Ces dernières englobent, par exemple, l’activité physique, l’alimentation ou encore le suivi du sommeil. Bien que ces informations puissent fournir des indices sur l'état de santé, elles ne sont pas systématiquement qualifiées de données de santé, sauf si elles sont traitées à cette fin.
• les données de santé à l’usage exclusif de la personne concernée : la Commission nationale de l’informatique et des libertés (CNIL) précise que « la loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. À titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles ». – CNIL, Qu’est-ce qu’une donnée de santé ?, 8 janvier 2018
• les informations ne permettant pas de tirer une conclusion sur l’état de santé d’un individu : certaines informations ne peuvent être qualifiées de données de santé si elles ne permettent pas de tirer une conclusion sur l’état de santé d’un individu. Par exemple, une application qui enregistre uniquement le nombre de pas effectués au cours d’une promenade, sans croisement avec d’autres paramètres, ne relève pas de cette catégorie.
• les informations relevant de la santé au sens du Code de la santé publique : bien que la notion de données personnelles concernant la santé semble se distinguer de la notion de données de santé au sens du Code de la santé publique – ces dernières étant spécifiquement liées à la prise en charge d’un patient par un professionnel ou un établissement de santé (articles L. 1110-4 et L. 1110-4-1 du Code de la santé publique) –, elles se recouvrent en réalité. En effet, les données personnelles concernant la santé englobent les données de santé au sens du Code de la santé publique.

Les responsables de traitements de données personnelles concernant la santé sont soumis au régime général de la Loi informatique et libertés relatif aux données personnelles. – Article L. 225-1 du Code de la recherche

Toutefois, des dispositions complémentaires permettent de garantir la sécurité et la confidentialité de ces données en articulant les dispositions relatives à la protection des données personnelles avec celles relevant du Code de la santé publique ou du Code pénal, par exemple.

Enfin, des règles spécifiques viennent s’ajouter aux traitements ayant pour finalité la recherche ou les études dans le domaine de la santé, ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soin ou de prévention.

Les traitements de données personnelles concernant la santé sont soumis à un certain nombre de conditions prévues par les articles 64 à 71 de la Loi informatique et libertés :

• objectif d’intérêt public du traitement : les traitements de données personnelles dans le domaine de la santé doivent poursuivre un objectif d’intérêt public, notamment l’amélioration de la qualité et de la sécurité des soins, des médicaments et des dispositifs médicaux.
• conformité aux référentiels de la CNIL : les responsables de traitement doivent se conformer aux référentiels établis par la CNIL en concertation avec la Plateforme des données de santé (voir CNIL, Référentiels concernant les traitements de données de santé hors recherche, 27 décembre 2023. Si les traitements sont conformes aux référentiels, une simple déclaration de conformité suffit. A défaut, les responsables de traitement doivent soumettre leur traitement à la CNIL afin d’obtenir une autorisation. La demande d’autorisation doit respecter les conditions de forme prévues à l’article 33 de la Loi informatique et libertés.
• confidentialité des données personnelles : il est possible de récupérer les données directement auprès des membres des professions de santé. Dans ce cas, la transmission des données doit être effectuée dans des conditions de nature à garantir leur confidentialité. Lors de la publication des résultats, elles ne doivent pas permettre l’identification directe ou indirecte des personnes concernées.Les professionnels manipulant ces données sont tenus au secret professionnel. – Article 226-13 du Code pénal
• information des personnes concernées : les individus doivent être informés de l’utilisation de leurs données, sauf exceptions définies par des considérations éthiques ou scientifiques (par exemple, droit de ne pas connaître un diagnostic). Dans certains cas, le consentement explicite peut ne pas être requis, notamment lorsque la personne n’est pas en mesure de donner son consentement et que des mécanismes alternatifs de protection sont mis en place.

Les traitements de données personnelles dans le cadre de la recherche en santé sont encadrés par des règles strictes qui garantissent la protection des droits des individus tout en permettant le progrès scientifique. Ces traitements doivent respecter les principes énoncés dans la Loi informatique et libertés et les textes spécifiques au secteur de la santé (Code de la santé publique). Les règles varient selon que le traitement est destiné :

• à des fins de recherche, d'étude ou d'évaluation, 
• à des fins de recherches, d'investigation cliniques et études des performances relevant du secret de la défense nationale, 
• à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Lorsqu’il s’agit de traitements de données personnelles dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention, d’autres conditions viennent s’ajouter aux précédentes en application des articles 72 à 77 de la Loi informatique et libertés :

• objectif d’intérêt public du traitement : le caractère d’intérêt public du traitement peut faire l’objet d’une évaluation par le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES). Le CESREES peut se saisir ou être saisi par la CNIL ou le ministre chargé de la santé. 
• Référentiels et déclaration auprès de la CNIL : les responsables de traitement doivent se conformer aux référentiels établis par la CNIL en concertation avec la Plateforme des données de santé (v. CNIL, Référentiels concernant les traitements de données à des fins de recherches, études et évaluations dans le domaine de la santé, 27 déc. 2023). Ces référentiels varient selon que la recherche implique la personne humaine (RIPH) ou non (RNIPH). Si les traitements sont conformes aux référentiels, une simple déclaration de conformité suffit. A défaut, les responsables de traitement doivent soumettre leur traitement à la CNIL afin d’obtenir une autorisation. La demande d’autorisation doit respecter les conditions de forme prévues à l’article 33 de la Loi informatique et libertés.
• consentement de la personne concernée pour le traitement des données génétiques : lorsque le traitement porte sur des données génétiques, un consentement éclairé et exprès doit être obtenu, sauf si l’examen est réalisé à des fins scientifiques à partir d’échantillons prélevés à d'autres fins et si la personne n’a pas exprimé d’opposition. En cas de découverte d’une anomalie génétique, l’intéressé est informé, sauf s’il a refusé préalablement.
• autorisation de la CNIL : l’autorisation du traitement est accordée par la CNIL après avis : 1° du comité compétent de protection des personnes (article L. 1123-6 du Code de la santé publique) pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine (RIPH) (article L. 1121-1 du Code de la santé publique) ; 2° du CESREES pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine (RNIPH).

Pour les recherches, investigations cliniques ou études des performances relevant du secret de la défense nationale, le promoteur soumet le projet à l'avis d'un comité de protection des personnes spécifique, dénommé « comité de protection des personnes-défense et sécurité nationale », agréé par le Premier ministre sur proposition du ministre de la défense et après avis du ministre chargé de la santé.

Le Premier ministre est seul compétent pour retirer l'agrément du comité de protection des personnes-défense et sécurité nationale si les conditions prévues à l'article L. 1123-5 du Code de la santé publique ne sont plus satisfaites. Ainsi, le ministre chargé de la santé peut retirer l'agrément d'un comité si les conditions d'indépendance, de composition ou de fonctionnement nécessaires pour assurer sa mission dans les meilleures conditions ne sont plus satisfaites. - Article L. 1123-16 du Code de la santé publique

Toute modification substantielle à l'initiative du promoteur d'une recherche, d'une investigation clinique ou d'une étude des performances relevant du secret de la défense nationale doit obtenir, préalablement à sa mise en œuvre, un avis favorable du comité de protection des personnes-défense et sécurité nationale et, dans le cas de recherches impliquant la personne humaine (RIPH), d'investigations cliniques relatives aux greffes d'organes, de tissus ou de cellules d'origine humaine, ou d'études des performances nécessitant le prélèvement d'échantillons obtenus par prélèvement chirurgical invasif, une autorisation de l'autorité compétente (CNIL ou Agence nationale de sécurité du médicament et des produits de santé). Dans ce cas, le comité s'assure qu'un nouveau consentement des personnes participant à la recherche, à l'investigation clinique ou à l'étude des performances est recueilli. - Article L. 1123-18 du Code de la santé publique

Pour les recherches, investigations cliniques ou études des performances relevant du secret de la défense nationale, le promoteur notifie à l'autorité compétente toutes les informations pertinentes relatives à la sécurité de la recherche, de l'investigation clinique ou de l'étude des performances. Lorsque ces recherches, investigations cliniques ou études des performances portent sur des personnes qui ne présentent aucune affection et se prêtent volontairement à ces recherches, investigations cliniques ou études des performances, il les notifie également au ministre de la défense. - Article L. 1123-19 du Code de la santé publique

Les modalités d'application du présent chapitre sont définies, sauf dispositions contraires, par décret en Conseil d'Etat, notamment :

1° Les conditions d'agrément, de financement, de fonctionnement et de nomination des membres du comité de protection des personnes-défense et sécurité nationale ainsi que la nature des informations qui doivent lui être communiquées par le promoteur et sur lesquelles il est appelé à émettre son avis ;

2° La durée de l'agrément du comité de protection des personnes-défense et sécurité nationale ;

3° Les modalités de présentation et le contenu de la demande de modification de la recherche prévue par l'article L. 1123-9 du Code de la santé publique, de l'investigation clinique ou de l'étude des performances ;

4° La nature et le caractère de gravité des événements et des effets indésirables qui sont notifiés selon les dispositions de l'article L. 1123-19 (ci-dessus) ainsi que les modalités de cette notification ;

5° Les modalités selon lesquelles le promoteur informe l'autorité compétente et le comité de protection des personnes-défense et sécurité nationale de l'arrêt de la recherche, de l'investigation clinique ou de l'étude des performances ;

6° Les délais dans lesquels le comité rend l'avis. 

- Article L. 1123-20 du Code de la santé publique

Les recherches impliquant la personne humaine relevant du secret de la défense nationale ne sont pas inscrits dans un répertoire d'accès public. - Article L. 112-15 du Code de la santé publique

Sous certaines conditions énoncées par les articles 78 à 79 de la Loi informatique et libertés, les droits des personnes concernées (accès, rectification, limitation, opposition) peuvent être limités pour les traitements à des fins de recherche ou d’archivage, lorsqu'ils risqueraient d'entraver la réalisation de ces finalités. – Article 116 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Les données conservées doivent être accessibles uniquement aux personnes autorisées respectant les règles de déontologie. Leur diffusion doit être limitée aux stricts besoins de la recherche et précédée d'une anonymisation, sauf si l’intérêt public de la diffusion prévaut.

Enfin, les obligations d’information peuvent être allégées lorsque les données ont été collectées à d'autres fins et sont réutilisées à des fins archivistiques, à des fins de recherche scientifique ou historique ou à des fins statistiques.